新SQL注入技术威胁Oracle数据库

日期:2008-4-28作者:Dennis Fisher翻译:Tina Guo来源:TechTarget中国 英文

Oracle   数据库   PL/SQL   侧面SQl注入   

【TechTarget中国原创】

数据库安全专家David Litchfield正在研究利用多种不需要输入的PL/SQL程序的新方法。他把这型技术描述为侧面SQl注入,可以对Oracle数据可进行远程攻击。

  这种攻击利用一些普通的数据类型,包括DATE和NUMBER,它们不需要使用用户的输入,所以通常不被认为可以攻击。但是,Litchfield在他关于侧面注入攻击的新文章中写道,使用一点创造性译码和一些Oracle数据可管理系统工作方式的知识,黑客就可以操作一些一般的功能。

  Litchfield是英国NGS Software公司的创始人之一,他说这个问题可能不会那么容易的攻击,但是特殊情况下,它可以被用于向数据库传输任意SQL命令。

  PL/SQL是Oracle公司的SQL(structured query language)的延伸。

  “总之,如果使用SYSDATE,那些不需要用户输入的功能和程序就有可能受到攻击。这里的教训总是会得到验证,防止这类攻击进入你的代码。第二个教训是DATE或者NUMBER不应该再被认为是安全的,也不会和注入携带者一样有用:这篇文章证明,他们是。”他写道。

  这类攻击工作模式如下:使用SYSDATE功能,黑客可以使用alter SESSION权限欺骗SQl编译器,接受任意的SQL数据作为DATE数据类型的输入。DATE_PROC使用变量V_DATE在调用SYSDATE功能后,设置数据。尽管如此,通过改变讨论(altering the session)和插入SQL命令,黑客可以迫使数据库执行他的命令。

  黑客的攻击不需要本地访问数据库。

  “可以通过远程完成,例如,借助一个Web应用程序,通过SQL注入漏洞,但是不是直接进入。” Litchfield在邮件采访中,如此说。“首先,我们攻击注入点来执行促进功能,这允许我们运行任意SQL,然后在这里可以使用这项技术。”

  Litchfield的文章中有意思的一点是DATE和NUMBER等数据类型被认为是“安全”的事实,意味着他们还没有受到攻击。最近几个月中,这类攻击越来越多,研究人员已经开始深入研究流形的应用程序,在有些情况下发现了严重的新型攻击携带者。

  去年夏天,Watchfire公司的研究人员,现在是IBM的一部分,他们发现攻击摇摆指示器的方法,这是一个被认为不能攻击的平常的程序失误。IBM的ISS部门的研究人员 Mark Dowd发表了一篇论文,详细指出了攻击NULL指示器解除参照。

  对他来说,Litchfield的新方法不是通过长时间的脑子里的工作,而是通过看电视产生的。

  他说:“同时,观看‘Bones’的一段情节,里面发生的一些事情让我想到不要接受默写认为真实东西,比如,在这种情况下,通过DATE和NUMBER数据类型进行SQL注入是不可能的。所以坐下来,想一想我在文章中提出的一些技术。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

数据库安全>更多

  • MongoDB勒索攻击蔓延原因:不安全配置

    攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。

  • 创纪录!Oracle关键补丁更新修复关键漏洞曝光

    本季度的Oracle关键补丁更新(CPU)提供了创纪录的276个漏洞的修复,其中包含高达19个CVSS 3.0评分为9.8的漏洞,所有这些漏洞都可远程利用而无需身份验证。

  • Guardium:近实时的数据安全性和监控

    IBM InfoSphere Guardium 解决方案能够保障企业数据中心(SAP、PeopleSoft、Cognos、Siebel 等) 中可信信息的安全性和完整性,并能够通过自动化异构环境中的整个遵从性审计流程降低成本。

  • 中小企业的数据库安全:三大方面要牢记

    随着日益复杂的攻击和不断上升的内部数据盗窃,数据库安全成为中小企业信息安全团队重点关注的焦点,超越了传统的认证、授权和访问控制。

相关推荐

  • Oracle现使用CVSS 3.0对漏洞进行评级

    Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。

  • 为免攻击困扰 甲骨文弃用Java浏览器插件

    甲骨文公司宣布在下一版本的Java Development Kit中将弃用Java浏览器插件,该公司已经要求开发人员开始迁移Java applet到新的Java Web Start技术。

  • 专家观点:Oracle更新补丁应加快节奏

    Oracle在其新的季度更新中对超过50款产品修复了154个漏洞,不过专家称Oracle应该加快其更新节奏,至少是为了那些销量比较好的产品……

  • 金融数据如何实现安全自主可控?

    金融行业核心软硬件如操作系统、数据库、存储等普遍来自国外,国产化率较低,自主可控的压力较大,存在着难以预知的安全风险……

技术手册>更多

  • NAC技巧与应用

    如今网络访问控制(NAC)技术正趋向成熟,然而由于NAC的范围过于广泛,用户面对各种各样的NAC产品总是会有很多顾虑。本技术手册从网络访问控制技术、网络访问控制的选择技巧、网络访问控制的实施技巧和网络访问控制的实际应用这四个方面对网络访问技术进行了介绍,希望能给大家一些帮助。

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • 下一代防火墙分析指南

    目前防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重,传统防火墙越来越力不从心,下一代防火墙顺势而来。

  • 下一代网络攻击应对技术

    攻击者几乎都是以特定的企业为目标,并且通过Web来进行攻击的。随着越来越多的企业将操作和性能转移到网络上,基于Web的应用程序成为潜在的威胁向量(threat vector)。如今,黑客主要利用Web漏洞,来窃取您最重要的数据。为了保护您的数据,您该采取哪些技术呢?本技术手册将为您介绍基于内存攻击、僵尸网络攻击、中间人SSL攻击和网络战的应对技巧。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算